何迪生：解讀2009“IT風(fēng)險管理之道”

申請免費試用、咨詢電話：400-8352-114

隨著IT技術(shù)的發(fā)展，全球越來越多的企業(yè)正在逐步完善業(yè)務(wù)流程及信息處理，將其從人工操作轉(zhuǎn)移到IT平臺上來。

由于微軟的Windows操作系統(tǒng)有著易于使用、成本較低等特性，許多企業(yè)已經(jīng)或者正在把Windows作為主要的業(yè)務(wù)流程和信息處理平臺。從邊界服務(wù)器到內(nèi)部網(wǎng)絡(luò)，從企業(yè)總部到各分支機構(gòu)，企業(yè)中存在著大量使用Windows操作系統(tǒng)的服務(wù)器和客戶端。

但是，隨著Windows作為主流平臺的廣泛使用，也隨之出現(xiàn)了層出不窮的安全威脅。而當(dāng)金融風(fēng)暴洶涌來襲，全球企業(yè)的生存環(huán)境發(fā)生了劇烈的變化。包括敏感數(shù)據(jù)、客戶信息以及公司基礎(chǔ)設(shè)施等都面臨著日益嚴(yán)峻的IT風(fēng)險，而在經(jīng)濟動蕩時期，企業(yè)更加無法承受自身安全所帶來的問題。

所以，如何在目前這個非常時期，嚴(yán)格控制有可能發(fā)生的隱患，對企業(yè)進行有效的IT風(fēng)險管理，是所有企業(yè)都必須直面的問題。

對此，暢享網(wǎng)走訪了國際信息系統(tǒng)審計和控制協(xié)會（ISACA）北京事務(wù)委員會主席及微軟大中華區(qū)信息安全總監(jiān) 何迪生先生，請他來深入剖析現(xiàn)今“IT風(fēng)險管理之道”。

多角度認(rèn)知IT風(fēng)險

何迪生有著多重身份： 國際信息系統(tǒng)審計和控制協(xié)會（ISACA）北京事務(wù)委員會主席、信息系統(tǒng)安全協(xié)會（ISSA）香港分會總裁、中國信息化推進聯(lián)盟 （CFIP） -信息安全專業(yè)委員會 （ISA） 副主任、-業(yè)務(wù)持續(xù)管理專業(yè)委員會（BCM）高級顧問、微軟大中華區(qū)信息安全總監(jiān)。復(fù)雜的身份幫助他從不同的角度去思考IT風(fēng)險管理的問題，因此也就對IT風(fēng)險管理有了更加全景的認(rèn)知。

談到IT風(fēng)險管理，首先需要了解威脅是什么？今天有哪些威脅？未來又會有哪些威脅？

對企業(yè)來說，任何安全技術(shù)和手段所要保護的核心內(nèi)容都是數(shù)據(jù)，目的也是為了企業(yè)正常網(wǎng)絡(luò)業(yè)務(wù)的運轉(zhuǎn)。在此基礎(chǔ)上，何迪生解釋說：從企業(yè)外部來看，IT風(fēng)險一直在不斷加劇。對于企業(yè)IT系統(tǒng)的惡意攻擊也在變得越來越復(fù)雜，有越來越多的方法可以對IT系統(tǒng)進行攻擊。同時，威脅已經(jīng)不僅僅單純來自于企業(yè)外部，更多來自企業(yè)內(nèi)部的威脅已經(jīng)變的越發(fā)嚴(yán)重。

在開放的網(wǎng)絡(luò)環(huán)境中開展業(yè)務(wù)，至少面對四大挑戰(zhàn)：第一，內(nèi)部身份認(rèn)證的安全性；第二，有組織犯罪的威脅；第三，各種來自于網(wǎng)絡(luò)的內(nèi)外部攻擊；第四，各種軟硬件的安全漏洞。

從業(yè)務(wù)角度來看，在上個世紀(jì)80年代時，完全并不需要管理很多的身份，但是隨著IT應(yīng)用越來越復(fù)雜，越來越多的功能開始被啟用。因為，需要用不同的功能應(yīng)對業(yè)務(wù)發(fā)展需求，比如：進入財務(wù)系統(tǒng)時，有很多網(wǎng)關(guān)保護著數(shù)據(jù)。在訪問數(shù)據(jù)之前，就首先需要經(jīng)過身份的認(rèn)證。顯然，隨著IT應(yīng)用愈加復(fù)雜、數(shù)據(jù)量的激增，所以，身份認(rèn)證所帶來的問題也就越來越復(fù)雜。

外部環(huán)境的變化也正在逼迫企業(yè)積極主動的應(yīng)對IT風(fēng)險。從發(fā)布更新到漏洞被利用的時間間隔已經(jīng)越來越短，從最開始的1年降到了2天甚至是1天。另外，過往的黑客更多是出于技術(shù)目的，只是想進入系統(tǒng)，炫耀自己的技術(shù)水平以獲得成就感。但是今天的黑客不是為了破壞系統(tǒng)，他們更看重的是系統(tǒng)里面的數(shù)據(jù)，并從中獲利。所以，黑客已經(jīng)從過去的技術(shù)目的，變成現(xiàn)在的業(yè)務(wù)目的。而且，他們所能采用的惡意攻擊的形式也越來越復(fù)雜。

此外，還有一個極其重要的問題，IT風(fēng)險最重要的部分是人。人永遠(yuǎn)是最薄弱的一個環(huán)節(jié)，必須教育員工，讓他們有足夠的知識來理解有關(guān)的防護措施。否則，即使防護再完備，企業(yè)依然會面臨巨大的風(fēng)險。

所以，IT風(fēng)險是復(fù)雜的，包括了很多因素，可以想見，今天的CIO們工作異常艱巨，需要找到正確的戰(zhàn)略、方法去管理系統(tǒng)。

對于IT風(fēng)險，微軟提出了信息安全的縱深防御模型，除物理安全、邊界安全、內(nèi)部網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全六個技術(shù)層面進行的安全防護外，再加上法規(guī)政策、安全模型等安全指導(dǎo)思想，合理的規(guī)章制度、應(yīng)急處理機制等信息安全管理手段和完整的安全培訓(xùn)體系，組成了微軟總體安全架構(gòu)體系。何迪生介紹說。

硬幣的兩面——安全與管理

根據(jù)IDC發(fā)布的調(diào)研報告顯示：目前，當(dāng)IT投資每增加100美元，其中的70%用于運營，只有30%是用于支持一個新的應(yīng)用。由此可見，對于現(xiàn)有IT設(shè)施的管理是多么重要，占據(jù)了大部分的IT投資。

但是，企業(yè)需要成長，當(dāng)然不能把大部分資金都花費在老舊系統(tǒng)的運維上。那么，如何把IT預(yù)算中更大的比例劃撥到新應(yīng)用的層面上，更好幫助企業(yè)發(fā)展？通過服務(wù)等級的管理、容量管理、可用性管理等，就可更好更有效的管理系統(tǒng)， 把IT運維的成本降到最低。從解決方案角度來講，微軟提供了安全和管理相結(jié)合解決方案 - System Center 幫助用戶監(jiān)管IT資產(chǎn)，包括軟件、硬件和網(wǎng)絡(luò)資源。Forefront針對Exchange和SharePoint的保護程序集成了多個廠商的掃描引擎，加上微軟自己研發(fā)的一共是8個，也是業(yè)內(nèi)唯一的多引擎解決方案。用戶可以根據(jù)性能和病毒捕獲率的個性化要求，來調(diào)整引擎工作數(shù)量以及工作性能之間的平衡。通過集成多個引擎，很大程度上避免了殺毒的“短板效應(yīng)”。廣泛集成業(yè)界專業(yè)的殺毒引擎，大幅度提升方案的整體安全防護效果。借助這種手段將微軟的安全解決方案和業(yè)界的最新技術(shù)緊密聯(lián)系在了一起。這種整體防護對于構(gòu)建可信賴計算的企業(yè)計算環(huán)境來說極為重要。安全和管理相結(jié)合，是今天企業(yè)IT治理里重要部分之一。

如今，企業(yè)IT管理在實際操作中存在的問題和挑戰(zhàn)越來越多。IT架構(gòu)管理軟件和防病毒入侵軟件，很難與平臺匹配而使管理變得異常復(fù)雜；許多安全軟件無法滿足安全需求并難以與平臺實現(xiàn)無縫連接；同時越來越復(fù)雜的企業(yè)IT環(huán)境和越來越高的維護成本，讓管理者深陷其中，業(yè)務(wù)目標(biāo)難以實現(xiàn)。因此，管理和安全特性兼?zhèn)?，對每家企業(yè)而言都成為優(yōu)化核心基礎(chǔ)設(shè)施不可分割的關(guān)鍵部分。

針對IT管理中方方面面的挑戰(zhàn)，微軟的核心理念是將管理和安全視為一個有機整體，而不是單獨看待“管理”和“安全”某個問題——何迪生這樣解釋微軟將管理和安全進行融合的用意。

像微軟這樣將管理和安全相結(jié)合，又能給用戶帶來怎樣的好處？

何迪生解答說：這將實現(xiàn)生產(chǎn)力最大化，并提供高度簡化的管理，并能夠與現(xiàn)有基礎(chǔ)設(shè)施整合，讓用戶縮減成本、為商務(wù)發(fā)展提供動力，并讓管理處于用戶的掌控之下。這主要表現(xiàn)在三個方面：

一是提高生產(chǎn)力——通過自動執(zhí)行重復(fù)性任務(wù)和嵌入微軟的知識來增強企業(yè)的生產(chǎn)力，讓企業(yè)能夠在效益最大化的同時，維持生產(chǎn)力。

二是簡化企業(yè)工作環(huán)境的部署、配置、管理和安全特性——通過提高能見度，讓企業(yè)IT管理能夠隨時隨地作出必要反應(yīng)。

三是高度整合——方案與Windows平臺及其應(yīng)用和管理基礎(chǔ)設(shè)施實現(xiàn)整合，提高了企業(yè)系統(tǒng)的整體有效性和響應(yīng)度，幫助企業(yè)實現(xiàn)投資價值的最大化。

簡而言之，微軟的理念就是“讓安全易于管理，令管理更加安全”，兩者相輔相成，密不可分，就像一個硬幣的兩面，對立統(tǒng)一而又密不可分。

宏觀策略與微觀措施相結(jié)合

構(gòu)建一個更安全的IT環(huán)境和IT系統(tǒng)，宏觀戰(zhàn)略和微觀措施同樣重要。

在當(dāng)前這個非常時期，雖然企業(yè)受到經(jīng)濟下滑的影響，IT預(yù)算有可能相比以前有所縮減，但企業(yè)仍然希望即使在節(jié)約IT成本的情況下可以使用相當(dāng)、甚至更好的解決方案來加固企業(yè)的IT系統(tǒng)，以面對不斷變化的安全威脅。

何迪生對此抱有充分的信心：首先，IT已經(jīng)不僅僅是企業(yè)的成本中心，一套完善、健康的IT系統(tǒng)完全可以成為企業(yè)業(yè)務(wù)的助推器，幫助企業(yè)成功。少花錢多辦事主要是落實到幾個方面——第一是企業(yè)內(nèi)部管理成本，信息管理不能復(fù)雜，復(fù)雜的管理必須要花時間花錢去參加很多的培訓(xùn)或者是招聘更多的管理員；第二就是企業(yè)希望廠商最好能夠提供一站式的服務(wù)，具體來說，信息部門尤其是安全部門都希望減少服務(wù)交付的時間，他們需要簡化服務(wù)供應(yīng)商的數(shù)量，讓服務(wù)提供商盡量是單一廠商。當(dāng)前，有些用戶的方案都是集成商把多家廠商的產(chǎn)品打包來做的，這個成本顯然高于單一廠商的集成解決方案。

何迪生特別強調(diào)ROSI——安全投資回報率，通過這個指標(biāo)，可以向企業(yè)負(fù)責(zé)人介紹安全投資的回報和業(yè)務(wù)表現(xiàn)。

如果一個CIO或者是CEO，或者是相關(guān)的利益方，不能夠認(rèn)識到保護數(shù)據(jù)的重要性，那么將很難說服他們投入足夠的資源來用于解決IT風(fēng)險的問題。但是，與商業(yè)直接密切相關(guān)，與股東權(quán)益直接相關(guān)的信息，都必須要采取一些措施保證投入足夠多的錢和資源來解決安全防護問題。顯然這不是一個輕松的工作，比如用ROSI去充分說明其重要性。

在具體措施上，大致可以分為如下步驟：

?首先應(yīng)當(dāng)進行商業(yè)的風(fēng)險評估，從商業(yè)發(fā)展的角度來看，什么是最重要的東西，如何來保護。

?然后，才能進入制定策略和公司的流程的階段。討論的安全的組織架構(gòu)，這都是如何實施這些戰(zhàn)略的基礎(chǔ)。比如，可以組成一個虛擬的安全團隊，動員各個部門的力量參與進來，包括人力資源部門和營銷部門，讓他們都理解安全性與重要性。

?下一步是安全的架構(gòu)和控制，關(guān)于公司的政策和流程。

?隨后進行安全的確保，令每一個部分運轉(zhuǎn)正常，并通過一系列的測試驗證其是否可以防止黑客侵犯。

?通過安全監(jiān)測來確保整個流程都是有效的。對于大公司，有可能需要每季度進行一次，或者是每月一次，來確保網(wǎng)絡(luò)每天都是安全的。

?最后就是安全評估。安全主管需要知道如何來和領(lǐng)導(dǎo)進行溝通，來展示一下這個系統(tǒng)它的功效。

對于微軟這樣的安全廠商來說，構(gòu)建一套完整的安全生態(tài)系統(tǒng)，必須能夠應(yīng)對這些挑戰(zhàn)，包括防御攻擊和不必要的通信干擾，并且盡量預(yù)知用戶的業(yè)務(wù)發(fā)展趨勢，并努力提高自身的安全透明度，以便為用戶提供最優(yōu)的安全防御方案。

從技術(shù)革新上看，目前以微軟為代表的安全廠商正在努力推動分層的系統(tǒng)安全建設(shè)模式，包括了：負(fù)責(zé)ACL、RMS以及數(shù)據(jù)加密的數(shù)據(jù)層；強化防病毒結(jié)構(gòu)的應(yīng)用程序?qū)樱回?fù)責(zé)操作系統(tǒng)強化、修補管理、身份認(rèn)證和HIDS的主機層；統(tǒng)籌網(wǎng)絡(luò)段，開展IPSec和NIDS的內(nèi)部網(wǎng)絡(luò)層；管理防火墻和VPN等設(shè)備的周邊設(shè)備層；以及提供防護、鎖定、追蹤功能的物力安全與策略通告層。這些技術(shù)層和非技術(shù)層組合在一起構(gòu)成了企業(yè)實踐中的深層防御（DID）機制。

何迪生建議，目前最為有效的企業(yè)安全生態(tài)系統(tǒng)建設(shè)戰(zhàn)略，除了要從技術(shù)上進行革新，同時還要為企業(yè)提供最佳的安全實踐與操作方式指導(dǎo)，同時安全廠商與企業(yè)的CIO最好能夠與一些國際安全組織進行合作，比如與ISACA, ISSA, CFIP-ISA和BCM保持交流可以獲得最新的安全防御指導(dǎo)意見，有助于安全生態(tài)圈的搭建。

在了解了一般方法，以及如何評估安全管理的效果之后，用戶可以借此改善安全防護的水平，來提升保護IT環(huán)境的能力。而在技術(shù)方面的很多因素，比如怎樣保護系統(tǒng)，加密等深層次的技術(shù)知識，都可以利用在日常保護IT的工作中去。但是對于IT風(fēng)險管理，只有技術(shù)還遠(yuǎn)遠(yuǎn)不夠，它更多是有關(guān)于戰(zhàn)略、流程、人、框架等各種元素，這幾個組成部分都是非常重要的。

其中，何迪生特別提到了流程——安全效果的獲得還有賴于安全有效的管理流程。凡是涉及到流程問題，單獨依靠安全廠商是不夠的，還需要用戶企業(yè)的努力，其中至少體現(xiàn)為：第一，企業(yè)的決策層支持安全流程的建立；第二，需要進行專業(yè)的商業(yè)風(fēng)險分析；第三，依靠業(yè)務(wù)和IT的人員一起建立安全策略；第四，構(gòu)建安全架構(gòu)并進行部署；第五，持續(xù)不斷地開展系統(tǒng)安全監(jiān)控。

對此，何迪生指出，只有將安全管理流程與深層防御體系組合在一起，才能構(gòu)成最佳的企業(yè)安全策略，而這也是企業(yè)建設(shè)安全生態(tài)圈并最終獲得安全體驗的必由之路。

結(jié)語

在三年前，何迪生曾對媒體表示過他的擔(dān)憂：中國很多企業(yè)對信息安全重視非常不夠。而現(xiàn)在，他承認(rèn)這種情況已經(jīng)發(fā)生了很大的變化。

“中國企業(yè)對信息安全、IT風(fēng)險的重視程度越來越高了，盡管對于應(yīng)該做什么、怎么做還不夠清晰，但是在主觀思想和重視程度上，已經(jīng)達到了相當(dāng)高度。許多發(fā)展和需求處于起步階段，發(fā)展速度非常的快?！?

盡管中國企業(yè)在安全建設(shè)問題上，還存在著一定的誤區(qū)，比如認(rèn)為購買昂貴的大型防火墻、殺毒軟件或者有關(guān)的安全產(chǎn)品就能提供很好的防護?！熬腿缤粋€昂貴的防護門，但是卻沒有鎖好。這依然起不到很好的安全防護作用。”何迪生表示，昂貴的產(chǎn)品和解決方案并不一定適合企業(yè)自身的需求。

其實，在這一兩年中，發(fā)生在何迪生身上的改變，并不僅僅是他對外界變化的認(rèn)知，兩年前還幾乎不能用漢語對話的他，現(xiàn)在已經(jīng)能夠講一口流利的普通話了。然而，在他身上，從未改變的是他對安全理念的傳播意愿與布道精神。

不論是在微軟的身份，還是在ISACA、ISSA、CFIP- ISA、BCM的身份，何迪生都一直在努力讓每一個中國企業(yè)都了解IT安全問題的重要性，和他們分享解決IT風(fēng)險管理的各種經(jīng)驗，并提供行之有效的解決方案。

“中國太大了，這會花費大量的時間和精力，但作為一個中國人，我愿意為此付出努力。”何迪生說。（暢享網(wǎng)）